Android自第7版開始取證難度大幅提升,即便已看到桌面的Line、WeChat等圖示,但用最頂級鑑識工具經常也無能為力,反倒透過社交字典攻擊可能奏效。App的加密往往也因開發時未落實安全設計而徒具形式意義,只要熟悉原理,人工手動下指令也可能搞定。
某跨國集團海外分公司的廠區驚爆營業秘密外洩事件,失竊的電腦內有許多重要技術文件,不日便要申請專利。據知情人士透露,這些應是該集團多年研發成果,牽涉到重大製程改良,一旦落入競爭對手陣營,原本保持的領先優勢恐大受影響。
案發地點是位於廠區西側的營業處大樓,竊案發生的時間點應是春節假期之中的某一天。事件最初爆發是連假之後,深受副總Jason信任倚重的特助Megan遲未現身出勤。另外有員工反映,除夕前夜曾見到劉姓保全在廠區東側撥弄電閘開關造成燈光忽明忽滅。然而,負責監視錄影設備維護管理的IT人員小高回報,除夕夜當晚廠區東側的監視錄影竟完全沒有畫面,但同一時間廠區內其他區域的影像卻正常如故。
在人事部用盡方法始終聯絡不上Megan之後,Jason驚覺事有蹊蹺,趕忙確認之下發現本來鎖在小房間保險櫃中,一台被集團高層戲稱為核橄欖球(Nuclear Football)的MacBook筆電(圖1)不翼而飛,顧名思義便可知道它等於是該集團的超級武器,其重要性不言可喻。
多年來替Jason打理大小事的Megan,不但代為保管小房間及保險櫃的鑰匙,當然也知曉筆電的登入密碼。調閱春節期間辦公室的所有影像,發現Megan在除夕夜空無一人時,獨自進入副總辦公室約十分鐘後,下樓走出了一樓大廳。然而她後續的行蹤,卻由於小高早就因怕麻煩而擅自把DVR上一些防範異常的告警及通知機制都停用了,警衛室的值班保全們也忙著圍爐喝酒,竟完全無從得知。管理部急忙打電話報案,由於該集團在地方上有不小貢獻,地方政府也甚是禮遇,警方不敢大意,成立專案小組全力追查。
遺留手機成唯一線索字典攻擊藉親友開圖形鎖
由於廠區建築物及周邊區域都有若干監視器死角,因而專案小組調閱錄影畫面並無所獲。而在得知了除夕前晚觀察到的燈光通電異狀之後,調查人員心中一凜,劉姓保全應是藉此摸清哪個電閘控制哪個區域的電力輸出,如此一來便可在關鍵時刻直接把電閘關了,不排除這就是攝影機突然失去訊號的原因。
此時專案小組接到來自Megan老家當地警方通報,表示Magen家人打來報案,自一起吃完團圓飯之後,已有數天無法與女兒取得聯繫。案情至此愈加撲朔迷離,依專案小組初步研判,暫時排除了IT人員、管理部與保全們的嫌疑,然而突然失蹤的副總特助Megan,及行跡詭異的劉姓保全,則可能涉有重嫌。警方首要之務是要先找到人,才能進一步了解其與案情相關程度。
Megan的父母焦急不已,兩老在女兒的房裡賭物思人,無意間發現梳妝台的抽屜裡躺著她女兒的手機,便趕緊把這支安卓手機送到專案小組手中,也許有助於釐清案情。鑑識小組發現該手機已耗盡電量,因此先將其充電到一定程度再行開機。開機之後所面臨的第一個關卡,便是須畫出正確的Pattern才能解鎖(圖2)。這當中牽涉到一個重要的特性,即便Megan本是以指紋辨識或臉部辦識來解鎖的,但只要重新開機之後,是無法逕以指紋辨識或臉部辦識來解鎖進入手機桌面的。
經採用幾種手機鑑識工具嘗試解鎖都失敗之後,專案小組決定採取字典攻擊(Dictionary Attack)來進行破密,即是以可能的組合來嘗試匹配,此破密方式相較暴力破解來得有效率。當然了,這個所謂可能的組合可不是隨便瞎猜,在經與家屬討論之後,掌握了幾組Megan曾滑過的解鎖Pattern,總算成功解鎖。而若是解鎖成功之後,只要未再重開機,便可逕以指紋辨識解鎖了(圖3)。
但接下來的發展並不順利,當使用鑑識工具進行取證時,不論使用何種模式進行,皆只能取得基本的聯絡人、簡訊等資料。這樣的結果令專案小組不敢置信,一支已解鎖的安卓手機,竟然連當今市面上數一數二的鑑識工具都無法有效取證。此時小組成員想到了一招,那就是「翻拍」,只要將手機上的社群或聊天App點開來,逐一檢視內容並視需要進行拍照即可,這的確不失為當取證工具力有未逮之時的替代方案。
頂級鑑識工具難保管用掌握原理空手也能入白刃
經檢視後看到手機上有微信(WeChat)的圖示,但當小組成員將其點開時,簡直不敢相信自己的眼睛,哪有什麼聊天訊息可看,更遑論還想要翻拍了,這微信不知怎麼地看似設有保護,要求以指紋解鎖才能進入,如圖4所示。
專案小組咸認為若能設法看到手機中的WeChat聊天內容,必然有助於釐清案情,便立刻透過管道尋求協助支援。當鑑識專家R一看到這情況時心想,此保護機制若是第三方App所致,就好處理得多,但在清查應用程式中的App之後,排除了此種可能性。來到手機設定之中,查找與此相關的安全性設定,果不其然,找到一個叫做「隱私與應用加密」的設定,是進到裡頭便可取消對微信的保護了嗎?想必沒那麼單純,不出所料,連要進入該項設定還需要先通過驗證才行,如圖5所示。
驗證指紋是沒可能的了,那若是點擊「使用密碼」改由密碼下手呢?如圖6所示的密碼輸入畫面,專案小組協同家屬嘗試了許久,卻沒有任何進展。
正當眾人束手無策之際,R突然起身拿起了手機接入他的工作站,只見他未使用任何取證工具,在手機上滑了幾下,然後光靠於工作站輸入指令,不一會兒的功夫就將微信的聊天紀錄全都取出來了,如圖7所示。經檢視赫然發現Megan與一位暱稱為「小左」的男子有頻繁的聯繫往來,對話內容親暱且直接涉及此案相關細節,看來這位小左跟此案絕對脫不了干係。
技術手段仍需人為實施超完美犯罪亦有漏洞
專案小組根據所掌握的資料進行交叉比對,赫然發現小左在三年前竟曾在該公司擔任管理部主任一職達兩年之久,再檢視其與Megan的聊天內容,至此專案小組對此案的來龍去脈,已有了一個較清晰的輪廓。
由於小左曾在管理部擔任主任一職,掌握了廠區內每棟建築物大小門戶及設備的鑰匙,同時深諳廠區環境、保全班表及執勤狀況等等細節,且作案時機選擇了春節長假,此時保全也容易疏於警戒防範。更重要的是有了內應的配合,在身為副總特助Megan的協助下取得「核橄欖球」,以及一位早已被買通了的劉姓保全,在其策應下避過了監視系統,因此才能一舉得手全身而退。
皇天不負苦心人,案情有了重大突破,就在左嫌打算搭巴士通關出境時,被警方攔下並帶回偵訊。最終突破左嫌心防,得知原來Megan與其交往才甘願為情人鋌而走險,左嫌得手後卻因兩人盛怒爭執而失手將Megan勒斃。他向警方坦承,Megan返鄉過年期間,兩人還保持密切聯繫,他有特別要求Megan換上早已申辦妥當的新門號及新手機,並把舊手機的聊天內容全給刪了。初二他們倆會合時,Megan的確是用著新手機及新門號,完全聽左嫌的話照辦。左嫌心中很是得意,連劉姓保全也是他早就用錢打點好的老鄉,這些都在他的算計之中。
更重要的是左嫌掌握了廠區的致命缺陷,由於設廠之初未將緊急備用電源配置考量在內,一旦電源供應異常時必然會影響錄影功能。這一著確實厲害,左嫌的釜底抽薪之計便是屆時於除夕夜當晚,劉姓保全負責切換電閘讓東側錄影畫面一片空白,好讓Megan順利從東側脫走不留痕跡。
那麼後來Megan的新手機呢?左嫌坦承在棄屍之後也被他給丟到茫茫大海裡去了,但左嫌所沒料到的是,一往情深的Megan確實聽話,只是當初她在換機之後,可能是因為看到舊機的WeChat已然登出,便很放心地將舊手機留在抽屜,這正是之後R能順利取證成功的關鍵所在。
鎖App未必鎖資料APK Downgrade有解
案情至此已真相大白,但長官們尚有一事不解,忙不迭詢問R究竟是如何能撈出Megan舊手機裡的WeChat聊天內容,看起來它仍是有著保護鎖定,且Megan已於新機登入WeChat,如此一來舊機上還會有聊天內容嗎?R笑著拿起一支測試手機說道,的確,本來在未換機前,Megan的微信中會看的到聊天訊息,就像這個樣子,如圖8所示。
當Megan於新手機登入微信之後,則舊機上的微信便會被登出,如圖9所示,此時自然是看不到聊天內容了。
另一方面,舊手機上的微信又被隱私保護鎖定著無法進入,看似是毫無任何突破可能了。但R大膽推論這層保護鎖定只是一個「門鎖」,未對其保護對象的內容進行加密處理。原因很單純,因為多數開發者在設計App時首重介面與使用者體驗,對於安全性則往往未加以落實,這也是現今大多數App皆存在的弊病之一。
甚且,雖然舊機的WeChat已處於登出狀態,但登出前的聊天內容其實仍然留存在裝置之上。因此,根本無須費心正面突破這層鎖定保護,只需以繞道而行的手法進行取證即可。R所採用的取證方法為Downgrade Extraction(圖10),巧妙運用安卓App的特性,順利將微信聊天內容全數取出,成了還原案情真相的最重要一塊拼圖。
結語
事後回頭審視本案,犯嫌事前的確做足了準備,充分利用其在職期間掌握的資源及情資,加上有內應的配合,本以為天衣無縫,可以瞞天過海狠撈一筆遠走高飛。但後來與共犯間發生內閧甚至失手殺人,其實原不在犯嫌的計畫之中,也許正是由於走錯了這一步,導致左嫌的縝密計畫出現超乎他控制之外的情況,正所謂「法網恢恢,疏而不漏」,無論再如何工於心計,費盡心思想盡各種方法滅證,妄圖可以永久逍遙法外,但最後終究難逃法律制裁。
<本文作者:Pieces0310,本身從事IT工作多年,為找尋線索、發掘真相、解決問題,而樂此不疲~喜歡與國內外同好分享交流心得,不僅僅是個人樂趣,也希望盡一分心力,有所助益。>